Android-Apps geben wegen fehlerhafter SSL-Implementierung Nutzerdaten preis

Forscher der Leibniz Universität Hannover und der Philipps-Universität Marburg haben festgestellt, dass viele Android-Apps das Verschlüsselungsprotokoll SSL (Secure Socket Layer) fehlerhaft implementieren. Dadurch sind die Apps anfällig für Man-in-the-Middle-Angriffe. Wie The Register berichtet, waren die Forscher unter anderem in der Lage, Anmeldedaten für Facebook, Twitter, Google, Microsoft, WordPress und beliebige E-Mail-Konten sowie Kreditkarten- und Kontodaten abzufangen.

Diese Aussage trifft ihrem Untersuchungsbericht (PDF) zufolge auf mehr als 1000 von 13.000 Anwendungen für Googles Mobilbetriebssystem zu, die die Forscher überprüft haben. Außerdem ist es ihnen offenbar gelungen, einer Antivirensoftware, die ebenfalls SSL verwendet, gefälschte Virendefinitionen unterzuschieben, um beliebige Apps als schädlich einzustufen oder den Virenschutz vollständig zu deaktivieren.

Das Problem beruhe darauf, dass Entwickler die SSL-Einstellungen, die die Android-API biete, falsch konfigurierten, so die Forscher. Beispiele seien Anwendungen, die grundsätzlich allen Zertifikaten vertrauten. Andere Apps wiederum seien so eingestellt, dass sie stets Zertifikate auch von einer anderen Domain als der des Herausgebers akzeptierten.

Andere Apps sind für sogenanntes SSL-Stripping anfällig. Es führt dazu, dass sich gesicherte HTTPS-Verbindungen in unverschlüsselte HTTP-Verbindungen umwandeln lassen. In einigen Fällen würden Nutzer auch nicht darüber informiert, ob eine Anwendung ihre Daten per SSL oder ungeschützt übertrage.

Die Forscher haben ein webbasiertes Tool namens „MalloDroid“ entwickelt, das die SSL-Implementierung von Android-Apps überprüfen kann. Es soll der Allgemeinheit zur Verfügung gestellt und als Bestandteil der Sicherheitsanwendung Androguard angeboten werden.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago